북 해킹조직의 정부기관·언론사 등 사칭 전자우편 주의 
북 해킹조직의 정부기관·언론사 등 사칭 전자우편 주의 
  • 차미경
  • 승인 2023.11.23 11:57
  • 댓글 0
이 기사를 공유합니다

랜섬웨어 유포에 이어 가상자산 절취·채굴까지 다각화된 공격 
자료=경찰청

경찰청 국가수사본부(수사국)는 지난해 북한 해킹조직의 소행으로 규명한 ‘국회의원실·기자 등 사칭 전자우편 발송사건’을 계속 추적·수사한 결과, 올해에도 공격 대상을 확대해 사칭 e-mail을 지속해서 발송하고 있고, 특히 다양한 방법으로 가상자산을 탈취하고 있는 사실을 확인했다.

북한 해킹조직은 정부기관·기자·연구소 등을 사칭해 ‘안내문’이나 ‘질의서’ 등 수신자가 관심을 가질 수 있는 내용으로 위장한 e-mail을 발송하고 있으며, 첨부된 파일을 열람하면 개인용컴퓨터(PC) 내부의 정보를 유출할 수 있는 악성프로그램이 설치·실행되는 수법을 이용하고 있다.

또한, e-mail에 포함된 인터넷주소(URL)를 누르도록 유인하는 사례도 확인되는데, 이 경우 피해자가 신뢰할 수 있는 기관이나 정보 망라 포털사이트을 모방한 가짜 홈페이지로 접속을 유도(피싱, Phishing)하는 수법도 이용해 계정정보를 탈취하고 있는 것으로 확인됐다.

특히, 북한 해킹조직은 사칭 e-mail 수신자의 소속기관 홈페이지를 제작해 접속을 유도하며 피해자별로 특화된 공격을 전개하는등 범행 수법은 더욱 교묘해지고 있다.

이번 추가 수사를 통해 확인된 e-mail 계정 탈취 피해자는 1,468명이며, 이중 외교·통일·국방·안보 분야의 전·현직 공무원 등 전문가는 57명이고, 이외에도 회사원·자영업자·무직자 등 다양한 직군의 일반인 1,411명도 피해를 입은 사실로 미루어, 공격 대상이 이제 특정 분야 종사자에 국한되지 않고 전방위적으로 확산되고 있는 것으로 판단된다.

공격 대상이 확산되고 있는 이유는 가상자산을 노리고 있기 때문으로 분석된다. 

지난해 ‘금품 요구 악성프로그램(랜섬웨어)’을 유포해 가상자산을 갈취한 사실이 처음 확인된 데 이어, 올해에는 사칭 e-mail 피해자들의 가상자산거래소 계정에 부정 접속해 절취를 시도한 사실과(금전적 피해 없음) 해킹으로 장악한 경유 서버 147대에서 ‘가상자산 채굴 프로그램’을 관리자 몰래 실행한 사실이 이를 뒷받침하고 있다.

최근들어 북한 해킹조직이 사칭 e-mail 공격 대상을 확대하고, 가상자산 갈취·절취·채굴까지 다양화함에 따라, 경찰은 피해를 적극적으로 예방·저지하기 위해 외교부 등 관계기관, 미국 정부, 유엔 등과 정보를 공유하고 협력 대응하는 등 여러모로 노력을 기울이고 있다.

또한, 경찰은 피해자들에게 e-mail에 대한 보안 조치를 권고하는 한편, 한국인터넷진흥원과 협력해 북한 해킹조직이 운영하는 피싱 사이트를 차단하고, 국가사이버위기관리단 등 관계기관에 북한 해킹조직의 경유 서버 목록 등 관련 정보를 제공해 정보보호 정책 수립에 활용하도록 했다. 

그러나 북한 해킹조직의 공격이 전방위적으로 확대되고 있는 만큼, 추가적인 피해가 발생하지 않도록 e-mail과 가상자산거래소 계정의 비밀번호를 주기적으로 변경하고, 2단계 인증 및 일회용 패스워드(OTP) 설정, 해외 인터넷주소(IP) 접속 차단 등 보안 설정을 강화하도록 당부했다.